Версия ЛЭРС УЧЁТ: 3.48.1
Сервер БД: SQL Server
Создаем учетные записи для старших по дому для просмотра показаний счетчиков через веб интерфейс. В правах доступа заданы минимально необходимые разрешения: Просмотр нештатных ситуаций и доступ в ЛК жильца. Все остальные пункты прав доступа запрещены.
Во вкладке “сеансы работы” стоит галочка на “ограничить работу в системе ЛК жильца”
Однако через веб интерфейс можно авторизоваться в телеграм боте, и через него спокойно запускается опрос текущих.
Выходит при работе через телеграм бот не проверяются права на запуск опроса/мониторинг текущих?
И почему вообще можно залогиниться в бота если стоит галка “ограничить ЛК жильца”?
Большое спасибо за это сообщение. Раньше бот был реализован отдельным приложением, и права на все выполняемые действия естественным образом проверялись сервером.
После интеграции бота с сервером, механизм проверки прав не был реализован, и опрос текущих остался доступен пользователям.
Это проблема с безопасностью, которую мы обязательно исправим в 3.48.4.